Участники CTF могут не всегда быть ценнее профессиональных пен-тестеров

image

Теги: бизнес, кибербезопасность

Сотрудники, нанятые через CTF-конкурсы, зачастую не обладают достаточными знаниями в области понимания бизнес-процессов.

По данным отчета компании ISACA «State of Cybersecurity: Implications for 2015», 72,33% респондентов считают, что наибольшим недостатком современных ИБ-профессионалов является отсутствие понимания бизнес-процессов. Еще одним интересным фактом стало то, что, по данным большинства опрошенных, менее 25% всех специалистов имели квалификацию в области ИБ.

Указанные в отчете числа показали значительный разрыв между людьми, ищущими вакансию в области ИБ, и современным бизнесом. Более того, схожий разрыв также существует между участниками CTF-конкурсов и профессиональными пен-тестерами. Это следует из статьи Ильи Колошенко, генерального директора компании High-Tech Bridge.

Эксперт считает, что аудитом безопасности крупных организаций должны заниматься, в первую очередь, эксперты с большим опытом работы и понимаем бизнес-процессов внутри самих компаний. Таким образом удастся избежать неприятных происшествий и издержек, которые могут произойти в случае непредвиденной кибератаки или прочих ИБ-инцидентов.

Колошенко подчеркнул, что работодателям обычно известно, что те или иные компоненты их IT-инфраструктуры могут быть уязвимы. Он заявил, что сотрудников берут на работу, чтобы они не расписывали проблемы на листе бумаги, а решали их. Именно в связи с этим эксперт предпочитает набирать на работу опытных специалистов вместо победителей различных конкурсов.

В статье также приведено мнение Яна Борбена (Yan Borboën) из швейцарской компании PwC. «Учитывая увеличивающееся количество кибератак по всему миру, компаниям нужно нанимать хорошо обученный персонал, – пишет специалист. – CTF представляет собой экстраординарную игру, позволяющую людям отточить свои навыки и продемонстрировать мотивацию.

Компания PwC спонсирует ИБ-соревнования в рамках конкурса Swiss Cyber Storm Security, поскольку это дает нам четкую возможность найти и нанять талантливых сотрудников. Тем не менее, технические навыки являются лишь одним аспектом аудита безопасности. Хоть они и помогут предотвратить обычные атаки, это не поможет предотвратить более сложные и постоянные угрозы наподобие APT-кампаний.

Мы советуем проводить специальное тестирование наподобие CREST STAR, в котором элементы информирования по угрозам кибербезопасности и ИБ-аудит сочетаются. Таким образом удается воспроизвести полный сценарий целенаправленной атаки на всю организацию, включая людей, процессы и технологии.»

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.